任何网络安全框架要想成功, 重要的是,首席信息安全官(CISO)或同等人员能够与最高管理层简单地沟通组织中的安全状态, 提出改进计划, 用评估过的风险来证明这一点,并请求必要的资源.
网络安全框架代表了风险分析和安全级别评估的方法, 说明如何组织资源, 定义了角色, 分配责任, 执行检查, 提供培训并确定要采用的技术和工具. 尽管这些都有助于解决组织的计算机安全问题, 它通常包括许多高层管理人员不理解的细节和专业信息.
然而,高层管理者必须了解这些信息,以便提供必要的资源. 问题就在这里——文档和演示文稿中包含的专家详细信息. 业务影响分析(BIA)或其他计算机安全文档适用于流程管理人员或操作级别. 风险登记册适合风险管理人员. 操作指导书适用于操作人员. 但, 当CISO在首席执行官(CEO)面前时, 他们只有几分钟的时间来获得计划中规定的投资的批准. 为了有效地沟通, 他们需要一种不同类型的文档,专注于受影响的业务目标之间的联系.
通常在执行报告中使用的综合类型是不够的. 沟通应基于所采用的框架,并且必须与所有业务流程有明确的联系. 过于技术性或专业化的信息应该尽量少,因为它会减少理解的受众数量,而不理解可能会导致混乱, 无聊或恼怒.
与澳门赌场官方下载领导人的沟通需要使用与澳门赌场官方下载关注的问题一致的语言进行开放和创造性的沟通.
起点是风险注册表. 从这个, 可以创建整体视图,以帮助管理层理解解决方案计划或BIA所涵盖的主题,同时始终与组织的目标保持一致.
编者按: 要进一步了解这个主题,请阅读路易吉Sbriz最近的两部分期刊文章, “简单有效地沟通资讯保安风险” ISACA学报,第1卷,2022年.
ISACA期刊今年创刊50周年! 和我们一起庆祝吧,别忘了你还可以通过访问你的 偏好中心 选择加入!